Нам нужно подключить систему не только с помощью собственного ssh, но и из php и других программ
При попытке подключиться из нашего окна CentOS6 с включенным fips, используя скрипт php (функция ssh2_connect), в наш ящик CentOS7при включенном fips происходит сбой с сообщением об ошибке:
PHP Warning: ssh2_connect(): Error starting up SSH connection(-5): Unable to exchange encryption keys ...
безопасный журнал в системе, к которой мы пытаемся подключиться, показывает:
Mar 27 12:59:27 localhost sshd[3574]: Unable to negotiate with <IP> port 58530: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]
Мы знаем, что FIPS ограничивает использование устаревших методов соединения, таких как, например, diffie-hellmann-sha1.
Когда мы пробуем то же соединение с CentOS7 до CentOS7, оно работает.
Мы предполагаем, чтоCentOS6 с включенным FIPS по-прежнему отличается от CentOS7 тем, как работает SSH и SSL (файлы конфигурации одинаковы, версия и установка PHP одинаковы, openssh libssh2 openssl - та же версия)
Мы также пытались разрешить старыйKEX в ssh_config (на основе хоста) без успеха и добавление их в sshd_config (устаревшие элементы для ssh) просто полностью разрывает соединения ssh.
CentOS6: Installed packages related to ssl and ssh
libssh2.x86_64 1.4.2-2.el6_7.1
libssh2-devel.x86_64 1.4.2-2.el6_7.1
openssh.x86_64 5.3p1-122.el6
openssh-clients.x86_64 5.3p1-122.el6
openssh-server.x86_64 5.3p1-122.el6
mod_ssl.x86_64 1:2.2.15-69.el6.centos
openssl.i686 1.0.1e-57.el6
openssl.x86_64 1.0.1e-57.el6
openssl-devel.x86_64 1.0.1e-57.el6
openssl098e.i686 0.9.8e-20.el6.centos.1
openssl098e.x86_64 0.9.8e-20.el6.centos.1
CentSO7: Installed packages related to ssl and ssh
libssh2.i686 1.4.3-10.el7_2.1
libssh2.x86_64 1.8.0-8.0.cf.rhel7
openssh.x86_64 7.4p1-16.el7
openssh-clients.x86_64 7.4p1-16.el7
openssh-server.x86_64 7.4p1-16.el7
mod_ssl.x86_64 1:2.4.6-80.el7.centos.1
openssl.x86_64 1:1.0.2k-12.el7
openssl-devel.i686 1:1.0.2k-12.el7
openssl-devel.x86_64 1:1.0.2k-12.el7
openssl-libs.i686 1:1.0.2k-12.el7
openssl-libs.x86_64 1:1.0.2k-12.el7
Есть кто-нибудь, кто сталкивался с той же проблемой?Мы бы обновили уязвимую систему до CentOS7, но это было бы огромным усилием, поэтому я попытаюсь найти временное решение для связи CentOS6 с CentOS7, когда у обоих включен fips.
Есть ли способ форсировать все соединения sshв CentOS6 использовать более новые методы, так как я думал, что режим FIPS позаботится об этом.